In september stelde beveiligingsbedrijf Finjan Software de zoekmachine op de hoogte van het zogeheten crosssite scripting-lek. Het lek stelde hackers in staat om op afstand toegang te krijgen tot Google-accounts. Ook bleek het mogelijk Google-pagina's na te maken om internetters te misleiden en eventueel persoonsgegevens van ze te stelen.

Volgens de beveiligingsexperts ging het om twee subpagina's van Google.com waarbij de ingevulde informatie op formulieren niet werd gecontroleerd. Hierdoor kon een hacker eigen content en eigen scripts invoeren en cookies van Google.com-gebruikers stelen. Als gebruikers ingelogd zouden zijn, had een hacker ook toegang kunnen krijgen tot zijn persoonsgegevens, opgeslagen zoekopdrachten en zijn identiteit voor Google Groups.

Volgens een woordvoerder van Finjan had Google het probleem binnen enkele dagen opgelost. Google was maandag niet in staat commentaar te geven. Of het lek is misbruikt, is niet bekend.